CWE-612 · Некорректная авторизация доступа к индексу, содержащему конфиденциальные сведения

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-612БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Некорректная авторизация доступа к индексу, содержащему конфиденциальные сведения

Продукт создаёт поисковый индекс частных или конфиденциальных документов, однако не ограничивает надлежащим образом доступ к нему для субъектов, уполномоченных просматривать исходную информацию.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2024-25635alf.io — это система резервирования билетов с открытым исходным кодом. В версиях до 2.0-Mr-2402 владельцы организаций могут просматривать сгенерированный API KEY и USERS других владельцев организаций, используя конечную точку `http://192.168.26.128:8080/admin/api/users/<user_id>`, которая раскрывает детали предоставленного идентификатора пользователя. Это также может раскрыть API KEY в имени пользователя. Версия 2.0-M4-2402 устраняет эту проблему.

CVE-2019-25605EquityPandit 1.0 содержит небезопасную уязвимость журнала, которая позволяет злоумышленникам захватывать конфиденциальные учетные данные пользователя, получая доступ к журналам консолей разработчиков через Android Debug Bridge. Злоумышленники могут использовать adb logcat для извлечения паролей в открытом доступе, зарегистрированных во время забытой функции пароля, разоблачая учетные данные учетной записи пользователя.

CVE-2022-35980OpenSearch Security - это плагин для OpenSearch, который предлагает шифрование, аутентификацию и авторизацию. Версии 2.0.0.0 и 2.1.0.0 плагина безопасности подвержены уязвимости раскрытия информации. Запросы к кластеру OpenSearch, настроенному с расширенными функциями контроля доступа, такими как безопасность на уровне документов (DLS), безопасность на уровне полей (FLS) и/или маскирование полей, не будут фильтроваться, когда шаблон поиска запроса соответствует индексу с псевдонимом. OpenSearch Dashboards по умолчанию создает псевдоним для `.kibana`, поэтому фильтры с шаблоном индекса `*` для ограничения доступа к документам или полям не будут применяться. Эта проблема позволяет запросам получать доступ к конфиденциальной информации, когда клиент принял меры для ограничения доступа к этой конкретной информации. OpenSearch 2.2.0, который совместим с OpenSearch Security 2.2.0.0, содержит исправление для этой проблемы. Не рекомендуется использовать обходной путь.

CVE-2025-3660Версии Petlibro Smart Pet Feeder Platform до 1.7.31 содержат сломанную уязвимость контроля доступа, которая позволяет аутентифицированным пользователям получать доступ к данным других пользователей о домашних животных, используя недостающую проверку собственности. Злоумышленники могут отправлять запросы на /member/pet/detailV2 с произвольными идентификаторами домашних животных для получения конфиденциальной информации, включая данные о домашних животных, идентификаторах членов и URL-адресах аватара без надлежащих проверок авторизации.

CVE-2025-3654Версии платформы Petlibro Smart Pet Feeder Platform до 1.7.31 содержат уязвимость раскрытия информации, которая позволяет несанкционированный доступ к аппаратной информации устройства, используя небезопасные конечные точки API. Нападатели могут получить серийные номера устройств и MAC-адреса через /device/devicePetRelation/getBoundDevices с помощью идентификаторов питомцев, что позволяет осуществлять полный контроль устройства без надлежащей проверки авторизации.

CVE-2025-3653Версии Petlibro Smart Pet Feeder Platform до 1.7.31 содержат неправильную уязвимость контроля доступа, которая позволяет несанкционированно манипулировать устройствами, принимая произвольные серийные номера без проверки собственности. Злоумышленники могут управлять любым устройством, отправляя серийные номера на API управления устройствами для изменения графиков подачи, запуска ручных каналов, доступа к камерам и изменения настроек устройства без проверки авторизации.

CVE-2024-49071Неправильная авторизация индекса, содержащего конфиденциальную информацию из поиска глобальных файлов в Защитнике Windows, позволяет авторизованному злоумышленнику раскрывать информацию по сети.

CVE-2023-4560Неправильная авторизация индекса, содержащего конфиденциальную информацию, в репозитории GitHub omeka/omeka-s до версии 4.0.4.

CVE-2022-41918OpenSearch — это управляемый сообществом форк Elasticsearch и Kibana с открытым исходным кодом. Существует проблема с реализацией детальных правил контроля доступа (безопасность на уровне документов, безопасность на уровне полей и маскирование полей), когда они некорректно применяются к индексам, которые поддерживают потоки данных, что потенциально приводит к неправильной авторизации доступа. OpenSearch 1.3.7 и 2.4.0 содержат исправление для этой проблемы. Пользователям рекомендуется обновиться. Нет известных обходных путей для этой проблемы.

CVE-2021-47015В ядре Linux устранена следующая уязвимость: bnxt_en: Исправлена логика индекса потребителя RX в пути ошибки. В bnxt_rx_pkt() ожидается, что буферы RX будут завершаться по порядку. Если индекс потребителя RX указывает на завершение буфера не по порядку, это означает, что мы столкнулись с аппаратной ошибкой, и драйвер прервет все оставшиеся пакеты RX и сбросит кольцо RX. Индекс потребителя RX, который мы передаем в bnxt_discard_rx(), неверен. Мы должны передавать текущий индекс (tmp_raw_cons) вместо старого индекса (raw_cons). Эта ошибка может привести к тому, что мы окажемся не на том индексе, когда пытаемся прервать следующий пакет RX. Это может привести к сбою, например, такому: #0 [ffff9bbcdf5c39a8] machine_kexec at ffffffff9b05e007 #1 [ffff9bbcdf5c3a00] __crash_kexec at ffffffff9b111232 #2 [ffff9bbcdf5c3ad0] panic at ffffffff9b07d61e #3 [ffff9bbcdf5c3b50] oops_end at ffffffff9b030978 #4 [ffff9bbcdf5c3b78] no_context at ffffffff9b06aaf0 #5 [ffff9bbcdf5c3bd8] __bad_area_nosemaphore at ffffffff9b06ae2e #6 [ffff9bbcdf5c3c28] bad_area_nosemaphore at ffffffff9b06af24 #7 [ffff9bbcdf5c3c38] __do_page_fault at ffffffff9b06b67e #8 [ffff9bbcdf5c3cb0] do_page_fault at ffffffff9b06bb12 #9 [ffff9bbcdf5c3ce0] page_fault at ffffffff9bc015c5 [exception RIP: bnxt_rx_pkt+237] RIP: ffffffffc0259cdd RSP: ffff9bbcdf5c3d98 RFLAGS: 00010213 RAX: 000000005dd8097f RBX: ffff9ba4cb11b7e0 RCX: ffffa923cf6e9000 RDX: 0000000000000fff RSI: 0000000000000627 RDI: 0000000000001000 RBP: ffff9bbcdf5c3e60 R8: 0000000000420003 R9: 000000000000020d R10: ffffa923cf6ec138 R11: ffff9bbcdf5c3e83 R12: ffff9ba4d6f928c0 R13: ffff9ba4cac28080 R14: ffff9ba4cb11b7f0 R15: ffff9ba4d5a30000 ORIG_RAX: ffffffffffffffff CS: 0010 SS: 0018

CVE-2022-22565Dell PowerScale OneFS, версии 9.0.0-9.3.0, содержат ненадлежащую авторизацию индекса, содержащего конфиденциальную информацию. Аутентифицированный пользователь с привилегиями может потенциально использовать эту уязвимость, что приведет к раскрытию или изменению конфиденциальных данных.